微软近期向SharePoint Server客户发出紧急警告，指出一个高危零日漏洞（CVE-2025-53770，CVSS评分9.8）正在被攻击者利用，该漏洞被称为“ToolShell”，是CVE-2025-49706的变种。目前尚无补丁可用，但微软正在开发安全更新，并提供了缓解和检测指导。谷歌威胁情报小组发现攻击者利用此漏洞安装Webshell，窃取加密密钥，导致未经身份验证的持续访问。安全公司Eye Security和Palo Alto Networks Unit42也证实了该漏洞的活跃利用，已有多家系统遭到入侵。微软建议客户配置AMSI集成和部署Defender AV以进行缓解，并强调应立即采取行动，假设系统已被入侵并进行调查。

🔴 紧急安全警告：微软SharePoint Server存在高危零日漏洞（CVE-2025-53770），CVSS评分高达9.8，被称为“ToolShell”。该漏洞是CVE-2025-49706的变种，攻击者可利用其进行未经身份验证的访问，窃取加密密钥，并安装Webshell，对受影响组织构成重大风险。

🛡️ 缓解措施与应对策略：微软尚未发布补丁，但已提供缓解措施，建议客户在SharePoint中配置AMSI集成，并在所有SharePoint服务器上部署Defender AV，以阻止未经身份验证的攻击者利用此漏洞。安全专家建议立即实施缓解措施，并在补丁可用时尽快应用。

🕵️ 活跃利用与潜在影响：已有安全公司观察到“数十个系统遭到主动入侵”，攻击活动集中在7月18日至19日。该漏洞的积极利用表明其潜在影响广泛，可能导致数据泄露和系统被恶意控制，企业应高度警惕并立即采取安全防护措施。

HackerNews 编译，转载请注明出处：

微软于周六向 SharePoint Server 客户发出紧急警告，称攻击者正在利用该软件产品中的一个零日漏洞（CVE-2025-53770，CVSS 评分为 9.8）。

目前尚无针对该漏洞（被命名为“ToolShell”）的补丁，微软称其为 CVE-2025-49706 的变种。这家总部位于华盛顿州雷德蒙德的科技巨头表示，安全更新正在开发中，并提供了缓解措施和检测指导。安全团队应立即采取行动，在此期间实施缓解措施。

谷歌发言人告诉 SecurityWeek：“谷歌威胁情报小组观察到威胁行为者利用此漏洞安装 Webshell，并从受害者服务器窃取加密密钥。这会导致持续的、未经身份验证的访问，并对受影响的组织构成重大风险。”

安全公司 Eye Security 表示，他们发现“数十个系统遭到主动入侵”，入侵可能发生在 7 月 18 日 18:00 左右（中欧时间）和 7 月 19 日 07:30 左右（中欧时间）的攻击中。

Palo Alto Networks Unit42 团队周六表示，他们也观察到影响 Microsoft SharePoint 的漏洞 CVE-2025-49704 和 CVE-2025-49706 正被积极利用。

微软在其安全公告中解释道：“为保护本地 SharePoint Server 环境，建议客户在 SharePoint 中配置 AMSI 集成，并在所有 SharePoint 服务器上部署 Defender AV。这将阻止未经身份验证的攻击者利用此漏洞。”

Mandiant Consulting – Google Cloud 首席技术官查尔斯·卡玛卡尔评论道：“各组织需要立即实施缓解措施（并在补丁可用时应用），假设系统已遭入侵，调查在补丁/缓解措施应用之前系统是否已被入侵，并采取补救措施。”

 

 

 

---

消息来源： securityweek；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文